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SiSTEMAS DE SEGURIDAD PARA DETECCION DE MEZCLA EXPLOSIVA Y 
DETECCION Y EXTINCION DE FUEGO (SiSTEMAS F&G) 
Safety Note SN - 4021 

FUNCIONES INSTRUMENTADAS DE SEGURIDAD PARA SiSTEMAS F&G 



1. Diseno Conceptual de un Sistema F&G 



A fin de implementar el Sistema Seguro de Defensa Contra Incendio con Monitoreo de Mezcia 
Explosiva de Gas, Deteccion de Fuego y Disparo de Agente de Extincion (Sistema F&G), que 
permita prevenir explosiones, asi como evitar, o reducir a! minimo posible, los danos derivados de 
un incendio, en Plantas de Almacenamiento, Tratamiento y/o Despacho de Gas, deberan seguirse, 
entre otras, las Normas prescriptivas y de performance de seguridad que se detallan a continuacion: 



lEC 61508 Funtional Safety of Electrical/Electronic/Programmable Electronic Safety Related 
Systems 

lEC 61 51 1 Functional safety - Safety instrumented systems for the process industry sector 

lEC 60079 Electrical Apparatus for Explosive Gas Atmospheres 

ISA S84 Application of Safety Instrumented Systems for the Process Industries 

NFPA 58 Standard for the Storage and Handling of Liquified Petroleum Gases (LPG). 

NFPA 59 Standard for the Storage and Handing of LPG at Utility Gas Plant. 

NFPA 59A Standard for the Production, Storage and Handling of Liquide Natural Gas (LNG). 

NFPA 69 Explosion Prevention Systems. 

NFPA 70 National Electrical Code (NEC). 

NFPA 72 National Fire Alarm Code 



En una Planta donde se tratan, almacenan y cargan gases de petroleo (GLP), se debera dar 
prioridad a la deteccion temprana y segura de niveles peligrosos de gas en el aire (mezclas 
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explosivas), ya que los eventos que presentan el mayor riesgo son las explosiones 
destructivas (ver documento "Fire Protection and Gas Explosion Prevention on LPG Storage & 
Handling Plants" en http://infodacs.icubo.org/downloads). 

El riesgo de una explosion destructiva se calcula, en forma simplificada, como el producto 
entre la probabilidad (o frecuencia) de que se produzca la explosion destructiva y la magnitud 
del daho (o consecuencia) que pudiera ocasionar dicha explosion (daho severe o muerte de 
personas presentes en el area de la explosion, valor del equipamiento destruido, lucre 
cesante del proceso afectado, etc.), en case de no implementarse un Sistema de Seguridad. 

Los incendios son otra causa de destruccion de este tipo de instalaciones (y los responsables, 
muchas voces, de la produccion de explosiones destructivas), razon por la cual tambien debera 
darse prioridad al aviso manual y a la deteccion automatica de la presencia de fuego. 

No son menos importantes las acciones que el Sistema F&G debera ejecutar ante la deteccion de la 
presencia de fuego y/o de mezclas explosivas de gas. 

Estas acciones se refieren a la desenergizacion de valvulas de shut-down (ESDV) y blow-down 
(BDV), asi como a la energizacion de valvulas diluvio (DV) y valvulas de descarga de espuma 
(FDV). 

A fin de reducir el nivel de riesgo y asi evitar la destruccion parcial o total de este tipo de 
instalaciones, debera proveerse un Sistema F&G de Alta Integridad que provea Funciones 
Instrumentadas de Seguridad (SIF), cuyo Nivel SIL sea tal que se garantice que cualquier fuga 
de gas sea controlada y que todo incendio sea apagado (ver "SIF de shut-down por fuga de gas" 
y "SIF de extincion" mas adelante). 

Estas SIF deberan utilizar Detectores de Mezcia Explosiva, Detectores de Fuego, Avisadores 
Manuales de Incendio, secuencias logicas dentro del Safety Logic Solver del F&G y Valvulas de 
Shut-Down, Blow-down, Diluvio y/o Espuma, independientes por cada "zona de fuego" y/o sector de 
la Planta. 
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El Nivel de Integridad Segura (SIL) de cada una de esas Funciones de Seguridad (SIF) dependera 
del nivel de riesgo tolerable establecido por el Usuario y del nivel de riesgo inherente de la 
instalacion (ver documento "Sistemas de Proteccion Segura para procesos Industriales" en 
http://infodacs.icubo.org/downloads). 

El Nivel de Riesgo Tolerable sera definido por el Usuario como la PFDgvg (Probaility of Failure on 
Demand promedio) o el SILavg (SIL promedio) de las SIF que debera proveer el Sistema de 
Seguridad F&G, basando esa definicion en un Analisis de Riesgo preliminar (HAZAN, FTA, 
LOPA, etc.). 

El Nivel SIL define un rango de proteccion que va desde un valor minimo a un valor maximo 
de Probabilidad de Falla en Demanda (PFD). 

Para el Nivel SIL 2, por ejempio, la PFD debe ser menor que 1E-2 y mayor que 1E-3, 
mientras que para SIL 3 la PFD oscila entre 1E-3 y 1E-4 (cuando nos refiramos en este 
documento a "Nivel SIL 2/SIL 3", esto significara que las SIF de referenda requeriran Niveles 
de PFD cuyo valor estara en el orden de 1E-3). 

El Usuario debera definir, ademas, el valor admisible de la PFSavg (Probaility of Failure Safe 
promedio), basando su definicion en el nivel de lucro cesante admitido para la operacion de la 
Planta. 

El Sistema F&G accionara ante la minima sospectia de situacion de peligro, deteniendo 
el proceso y/o disparando los agentes de extincion, incluso cuando se trate de una 
"falsa alarma". Si as! no lo hiciera, no serla un Sistema de Proteccion Segura. 

A este "disparo" (trip) por falsa alarma se lo conoce como "falla espuria o segura" (spurious o 
nuisance o safe trip) y su probabilidad de ocurrencia (PFS) se define como la cantidad de 
fallas seguras que el sistema puede producir en un determinado periodo de tiempo. 
Estas "fallas seguras" no producen dafio a las personas, a la propiedad o al medio ambiente, 
pero ocasionan importantes lucros cesantes. 
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El lucro cesante se deriva generalmente del hecho que, luego de una parada del proceso, se 
requieren varias horas (y a veces dias) para rearrancar el mismo. 

Una vez definidos por el Usuario los valores de la PFDgvg y de la PFSavg, se disenara el Sistema F&G 
de forma tal que cada SIP se ejecute dentro de los parametros apropiados. 

Una consideracion muy importante a tener en cuenta en la implementacion del Sistema F&G, esta 
relacionada con le disparo seguro de las valvulas diluvio y de descarga de espuma (DV y FDV). 

Estas valvulas accionan cuando se las energiza, es decir, se les debe dar tension para que 
produzcan el disparo del agente de extincion. A este tipo de disparo se lo conoce como 
energize-to-trip. 

Es decir, durante la ejecucion de las "SIP de extincion" (ver mas adelante), debera garantizarse la 
alimentacion de las valvulas DV y FDV, con un nival de tolerancia a fallas que dependera del 
nivel SIL de la "SIP de extincion" correspondiente. 

El "nivel de tolerancia a fallas" es la cantidad de veces que el Sistema podra fallar 

manteniendo la garantia de integridad de la proteccion. 

En un Sistema con Nivel de Tolerancia "0", una "SIF de extincion" (energize-to-trip) podra 
fallar, dejando sin proteccion a la Planta, cuando falle el unico "canal" de disparo 
(entendiendo por "canal" al conjunto <detector> <m6dulo de entrada> <CPU del Logic 
Solver> <m6dulo de salida> <solenoide> <valvula>), o cuando falle la tension de 
alimentacion. 

A estos sistemas se los conoce como Sistemas en Votacion 1oo1 6 Sistemas Simplex. 

Estos Sistemas pueden ser aptos para funciones de-energize-to-trip de Nivel SIL 2, pero 
cuando la funcion deba garantizar la alimentacion de la salida, el valor de integridad 
que provee esta arquitectura no es suficiente. 
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En un Sistema con Nivel de Tolerancia "1", un canal de disparo de la funcion SIF energize- 
to-trip podra fallar, pero un segundo canal "en paralelo" protegera la Planta. 

Estos Sistemas utilizan dos canales de disparo para cada SIF (dos detectores, dos modulos 
de entrada, dos CPU en el Logic Solver, dos modulos de salida, dos valvulas), as! como 
doble fuente de alimentacidn. 

A fin de evitar que la falla del segundo canal pudiera dejar a la Planta sin proteccion, la 
primer falla debera ser detectada inmediatamente e indicada como alarma para que 
pueda ser reparada con la menor demora posible. 

A estos sistemas se los conoce como Sistemas en Votacidn 1oo2 o Sistemas Duplex. 

Para Sistemas F&G de Nivel SIL 2 pudiera ser suficiente Ian utilizacion de Sistemas Duplex (ya que, 
como se dijo, los Sistemas Simplex no son aptos para este tipo de aplicaciones). 

Sin embargo, cuando un Sistema F&G Duplex de Nivel SIL 2 tenga un canal en falla, el tiempo 
de reparacion sera cntico y, una vez transcurrido este, la planta debera ser enviada a condicion 
segura de shut-down hasta que el Sistema F&G sea reparado. 

Para que un Sistema F&G de Nivel SIL 2 permanezca siempre activo, aun con un canal en falla, 
la configuracion minima requerida es la que utiliza votacion 2oo3 (Sistema Triplex). 
Un Sistema Triplex sera apto tambien para Sistemas F&G de Nivel SIL 3. 

Un Sistema en Votacidn 2oo3 o Sistema Triplex, es un Sistema con Nivel de Tolerancia 
"2", es decir, que si un canal de disparo energize-to-trip de la SIF falla, existen otros dos 
canales "en paralelo" para protegeria Planta. 

Estos Sistemas utilizan, para cada SIF energize-to-trip, tres detectores, tres modules de 
entrada, tres CPU en el Logic Solver, tres modules de salida, tres valvulas y tres fuentes de 
alimentacidn (otras configuraciones usuales como dos valvulas con doble solenoide y fuentes 
de alimentacidn con redundancia N+1 son equivalentes). 
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Cuando se produce una falla en uno de los canales, esta es detectada inmediatamente e 
indicada como alarma para que pueda ser reparada. Los otros dos canales actives, con 
capacidad de diagnostico, continuan funcionando como un Sistema Duplex. 

El Sistema F&G con arquitectura Triplex funciona sin restriccion de tiempo, aun con un 
canal en falla, es decir, sin necesidad de hacer un shut-down de la Planta. 

1.1 Programmable Electronic Safety Controller (PESC) 

El eslabon principal en la cadena de seguridad de las "SIF de shut-down por fuga de gas" y "SIF de 
extincion" (ver mas adelante), responsable ademas de la ejecucion de otras SIF ("SIF de 
despresurizacion", "SIF de enfriamiento de tanques", etc., no analizadas en el presente documento), 
es el Safety Logic Solver o Programmable Electronic Safety-related Controller (PESC), como lo 
define la Norma lEC 61508. 

El PESC se encarga de ejecutar todas las secuencias logicas seguras necesarias para 
garantizar la integridad de la Planta. Estas secuencias logicas estan compuestas por la 
ejecucion simple o combinada de varias SIF, de distinto Nivel SIL. 

Segun la Norma lEC 61508, el PESC debe estar certificado por un organismo de 
verificacion independiente (como TOV o FM) para aplicaciones donde se requiera 
ejecutar Funciones de Seguridad de Niveles SIL 1, SIL 2 o SIL 3. 

Los PESC se diferencian de los PLC, fundamentalmente, por su Alta Cobertura de 
Diagnostico y se clasifican, segun su arquitectura, en Controladores I00ID (Simplex), 
1oo2D (Duplex) y 2oo3D (Triplex) o TMR (Triple Modular Redundancy) . 

Para su utilizacion en Sistemas F&G, el PESC debera estar homologado y Certificado segun la 
Norma lEC 61508, ser del tipo FAILSAFE / FAULT TOLERANT y ser apto para ejecutar SIF de- 
energize-to-trip y energize-to-trip (para shut-down y disparo de extincion, respectivamente). 
Ademas, el PESC debera estar ensayado y Certificado segun NFPA72. 
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Es decir, en las SIF que ejecutara el PESO deberan estar garantizados el Nivel SIL y la 
tolerancia a f alias en todas sus partes de hardware (CPU y modules del PESO, 
dispositivos de campo), en su instalacion (conexiones a dispositivos de campo debidamente 
implementadas) y en su software de aplicacion, observando estrictamente las Normas 
prescriptivas NFPA 72 coma as! tambien las Normas de performance lEC 61508, lEC 
61511 e ISA S84. 

La Norma NFPA 72 exige el monitoreo de linea, tanto para sehales de entrada como de 
salida, de forma tal que el Sistema F&G pueda indicar y actuar aun bajo condiciones de 
alarma como cables cortados o a tierra, bobinas cortadas, etc. 

Ademas de las consideraciones hechas en el punto 1, la utilizacion de un PESC con arquitectura 
TMR resultara la opcion mas conveniente si se tiene en cuenta que: 

Los PESC TMR garantizan la separacion de ejecucion entre las SIF, de forma tal que, por 
ejempio, una SIF de prevencion de-en erg ize-to-trip de Nivel SIL 2 ejecutada por un canal, podra 
ser considerada una "capa independiente" de otra SIF en erg ize-to-trip de Nivel SIL 3 ejecutada 
en otro canal del Sistema TMR. 

Estas "capas de proteccion independientes" (IPL, Independent Protection Layers), brindan un 
mayor nivel de proteccion de acuerdo con el modelo LOPA ("Layers of Protection Analysis", 
AlChE-CCPS). 

Los PESC TMR tienen procesadores muy poderosos, lo cual garantiza tiempos de ejecucion 
muy cortos y, por lo tanto, una gran cantidad de SIF en ejecucion simultanea. 

La densidad de los modulos de entrada/salida en los PESC TMR es muy alta (mas de 30 
entradas analogicas por modulo), lo cual reduce el cableado y el espacio total ocupado por el 
Sistema, asi como el costo por unidad de entrada / salida. 
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2. Funciones Instrumentadas de Seguridad (SIF) 
2.1 SIF de shut-down por fuga de gas 

Se indican a continuacion las arquitecturas tipicas para la ejecucion de "SIF de shut-down por fuga 
de gas", de Nivel SIL 2 (valor promedio en la mayoria de los Procesos Industriales), en funcion del 
nivel de disponibilidad requerido para el Sistema. 

Se considera el uso de Detectores de Gas con salida analogica. No se consideran en el ejempio 
senales de realimentacion y/o alarma como, por ejempio, la de detectores POC (Proof of Closure) de 
las valvulas ESDV, las senales de "detector en falla", etc. 

a- Sistema Simplex - Disponibilidad BAJA (por poseer un solo canal, una falla Inlclara un shut- 
down de Planta). 

Dos Detectores de Mezcia Explosiva (votacion 1oo2 en el software) 

Dos entradas analogicas en el PESC (una por cada Detector), del tipo loolD 

Procesador loolD 

Dos salidas digitales en el PESC del tipo loolD (votacion 1oo2 en el software) 

Dos valvulas ESDV montadas "en serie", con solenoides de disparo por corte de tension (de- 

energize-to-trip) 

b- Sistema Duplex - Disponibilidad MEDIA (una falla detendra el Proceso cuando transcurra el 
tiempo critico) 

Tres Detectores de Mezcia Explosiva (votacion 2oo3 en el software) 

Tres entradas analogicas en el PESC (una por cada Detector), del tipo lool D 

Procesador 1oo2D 

Dos salidas digitales en el PESC del tipo 1oo2D (votacion 1oo2 en el software) 

Dos valvulas ESDV montadas "en serie", con solenoides de disparo por corte de tension (de- 

energize-to-trip) 
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c- Sistema Triplex - Disponibilidad ALTA (una falla nunca detendra el Proceso) 

Tres Detectores de Mezcia Explosiva (votacion 2oo3 en el software) 

Tres entradas analogicas en el PESC (una por cada Detector), del tipo 1oo2D 

Procesador TMR 

Dos salidas digitales en el PESC del tipo TMR (votacion 1oo2 en el software) 

Dos valvulas ESDV montadas "en serie", con solenoides de disparo por corte de tension (de- 

energize-to-trip) 

2.1.1 Detectores de Mezcia Explosiva 

El primer eslabon en la cadena de seguridad de la "SIF de shut-down por fuga de gas" lo constituyen 
los Detectores de Mezcia Explosiva. 

Es muy importante elegir la tecnologia utilizada para la deteccion de Mezclas Explosivas teniendo en 
cuenta el Cicio de Vida de la lEC 61508. 

Es decir, deberan seleccionarse, siempre que sea posible, detectores de gas del tipo FAILSAFE 
con Alta Cobertura de Diagnostico libres de mantenimiento (o que requieran mantenimiento con 
una frecuencia no menor a un ano). 

Sacando cases de excepcion, donde la deteccion puede ser solamente del tipo catalitico o 
electrolitico (generalmente gases explosives sin contenido de Carbono), se dara preferencia a la 
utilizacion de Detectores de Absorcion IR (Infra-Roja). 

En estos, un emisorde doble longitud de onda (dual beam), env'ia, a traves del aire, un "rayo" 
de luz infra-roja hasta un receptor ubicado a cierta distancia. 

La presencia de una "nube" de mezcia explosiva en el camino del "rayo" sera detectada por 
la absorsion de la emision en una sola de las longitudes de onda, nivel de absorcion que, por 
comparacion con la serial "no absorbida", indicara el Nivel de Explosividad (%LEL) de la 
mezcia (ver documento "Fire Protection and Gas Explosion Prevention on LPG Storage & 
Handling Plants" en http://infodacs.icubo.org/downloads). 
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Estos detectores se obtienen en versiones del tipo "detector puntual" (en los cuales emisor y 
receptor estan separados solo unos centtmetros y tienen un radio de deteccion de 
aproximadamente 4 a 5 mts), y los del tipo "open path" (en los cuales el emisor y el receptor 
pueden estar separados hasta mas de 100 mts, detectando fugas de gas en grandes areas). 

Cualquiera sea el tipo elegido, la cantidad de detectores a utilizar, asi como la arquitectura de 
votacion a implementar, estara relacionada con el Nivel SIL de la "SIF de shut-down por fuga de 
gas". 

El siguiente cuadro es indicative y su utilizacion debera ser verificada en funcion del "range de fallas 
peligrosas" (FRD, Failure Rate Dangerous), determinado por el fabricante de cada detector. 



Detector Tipo Votacion SIL 1 Votacion SIL 2 Votacion SIL 3 Apto p/modo 

Catalitico lool 1oo2 - FAILSAFE 

IR lool 1oo16 1oo2 1oo2 FAILSAFE 

IR 1oo2 2oo3 2oo3 FAULT TOLERANT 



2.1.2 Valvulas de shut-down 



El eslabon final en la cadena de seguridad de la "SIF de shut-down por fuga de gas" y quiza el mas 
importante desde el memento en que es el que efectivamente realiza el corte de gas lo constituyen 
las valvulas de shut-down (ESDV, Emergency Shut-Down Valve) y blow-down (BDV). 



Estas valvulas deben estar aprobadas por Organismos Independientes (por ejempio, FM o 
TUV), para su uso especffico. 

El corte de combustible segun NFPA debe realizarse utilizando dos valvulas de shutt- 
down "en serie". 

Para aplicaciones de Nivel SIL 2 o SIL 3, ademas, los cierres deben ser de nivel de 
hermeticidad garantizado, leakage Class VI segun ANSI/FCI 70-2, de larga vida util, dado el 
bajo nivel de prueba manual en este tipo de instalaciones (generalmente no menos de una 
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i/ez cada 12 meses), para sostener la garantia de integridad segun los pasos del Safety Life 
Cycle indicado porlas I EC 61508. 

Es imprescindible que las valvulas ESDV sean FAIL CLOSED, para que ante cualquier falla 
cierren el paso de gas, asi como las valvulas BDV deben ser FAIL OPEN, de forma tal que se 
asegure la conexion a la linea de depresurizacion (o al "flare", cuando sea necesario), ante una falla. 

La cantidad y tipo de valvulas a utilizar, asi como la arquitectura de votacion a implementar, estara 
relacionada con el Nivel SIL de la "SIF de shut-down porfuga de gas". 

El siguiente cuadro es indicativo y su utilizacion debera ser verificada en funcion del "range de fallas 
peligrosas" (FRD, Failure Rate Dangerous), determinado por el fabricante de cada valvula. 

Valvula Tipo Votacion SIL 1 Votacion SIL 2 Votacion SIL 3 Funcionamiento modo 

ESDV, BDV lool 1oo2 6 lool+PST 1oo2 (+PST) FAILSAFE 

En el case en que, por alguna razon, no se puedan utilizar valvulas ESDV o BDV multiples, se 
deberan implementar tecnicas de "prueba de cierre parcial" (PST, Partial Stroke Testing), para 
garantizar el Nivel SIL de la funcion de shut-down correspondiente. 

2.2 SIF de extincion 

Se indican a continuacion las arquitecturas tipicas para la ejecucion de "SIF de extincion", de Nivel 
SIL 2 (valor promedio en la mayoria de los Procesos Industriales), en funcion del nivel de 
disponibilidad requerido para el Sistema. 

Se analizan las SIF relacionadas con Detectores de Fuego con salida analogica (no se consideran 
en el ejempio senales de realimentacion y/o alarma como, por ejempio, las senales de "detector en 
falla"). 

Las SIF relacionadas con Avisadores de Incendio en votacion "NooM" son mas complejas de 
analizar y no se detallan en este memento. 
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Tampoco se indican en el ejempio las salidas digitales para iniciar el disparo remoto de "SIF de shut- 
down" (en case que se utilizara un PESC independiente para esas funciones). 

a- Sistema Simplex - Disponibilidad BAJA 

No se admitira este tipo de configuracion, ya que una falla podra hacer que no se extinga el 
incendio. 

b- Sistema Duplex - Disponibilidad MEDIA (una falla podra hacer que se genere un shut-down de 
Planta y/o que esta se inunde con agua y/o espuma). 

Tres Detectores de Fuego por zona (votacion 2oo3 en el software) 

Tres entradas analogicas en el PESC (una por cada Detector), del tipo 1oo2D 

Procesador 1oo2D 

Dos salidas digitales en el PESC del tipo 1oo2D (votacion 1oo2 en el software) 

Dos valvulas DV o FDV montadas "en paralelo", con solenoides de disparo por alimentacion de 

tension (energize-to-trip) 

c- Sistema Triplex - Disponibilidad ALTA (una falla nunca detendra el Proceso y nunca inundara 
la Planta) 

Tres Detectores de Fuego por zona (votacion 2oo3 en el software) 

Tres entradas analogicas en el PESC (una por cada Detector), del tipo 1oo2D 

Procesador TMR 

Dos salidas digitales en el PESC del tipo TMR (votacion 1oo2 en el software) 

Dos valvulas DV o FDV montadas "en paralelo", con solenoides de disparo por alimentacion de 

tension (energize-to-trip) 
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2.2.1 Detectores de Fuego 

El primer eslabon en la cadena de seguridad de la "SIF de extincion" lo constituyen los Detectores 
de Fuego. 

Es muy importante elegir la tecnologia utilizada para la deteccion de Fuego teniendo en cuenta el 
Ciclode Vida de la lEC 61508. 

Es decir, deberan seleccionarse detectores de Fuego del tipo FAILSAFE con Alta Cobertura de 
Diagnostico. 

Sacando casos de excepcion donde, por el tipo de llama, la deteccion pueda realizarse solamente 
con detectores del tipo UV/IR (llamas de gases con alto contenido de Hidrogeno), se dara 
preferencia a la utilizacion de Detectores IRS (deteccion de radiacion Infra-Roja de Triple Banda). 

Se debera considerar, ademas, que un Detector IRS es mucho mas sensible que un Detector 
UV/IR y, a la vez, totalmente inmune a todo tipo de falsas radiaciones (lamparas halogenas, 
arcos de soldadura, etc.), a los que el UV/IR es sensible. 

Estas "falsas radiaciones" son una fuente bastante frecuente de disparos espurios en los 
sistemas de extincion que utilizan detectores UV/IR. Como se dijo anteriormente, estos 
disparos espurios le generan al Usuario perdidas por lucre cesante importantes (a menos 
que por cada zona se dispongan tres detectores en votacion 2oo3 para descubrir la falsa 
alarma). 

Cabe hacer notar ademas que, como indica el grafico, el 
cono de vision de los detectores IR3 es muchisimo mas 
grande que el de los detectores UV/IR, razon por la cual, la 
utilizacion de los primeros podra reducir notablemente la 
cantidad de detectores a implementar. 
Los detectores UV/IR suelen tener un cono de vision de 120 
grades con un alcance de 15 metres, mientras que los 
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detectores IR3 tienen un cono de vision de 90 grados, pero con un alcance de 60 mts. 



Cualquiera sea el tipo elegido, la cantidad de detectores a utilizar, asi como la arquitectura de 
votacion a implementar, estara relacionada con el Nivel SIL de la "SIF de extincion". 
El siguiente cuadro es indicativo y su utilizacion debera ser verificada en funcion del "range de fallas 
peligrosas" (FRD, Failure Rate Dangerous), determinado por el fabricante de cada detector y de la 
probabilidad de fallas espurias del mismo. 



Detector Tipo Votacion SIL 1 Votacion SIL 2 Votacion SIL 3 Apto p/modo 

UV/IR lool 1oo2 1oo2 FAILSAFE 

UV/IR 1oo2 2oo3 2oo3 FAULT TOLERANT 

IR3 lool 1oo16 1oo2 1oo2 FAILSAFE 

IR3 1oo2 1oo2 6 2oo3 2oo3 FAULT TOLERANT 



2.2.2 Valvulas de Diluvio y de Espuma 



Las valvulas diluvio (DV) y las de descarga de espuma (FDV) son el ultimo eslabon que garantiza la 
efectividad de la "SIF de extincion ", deben estar aprobadas por Organismos Independientes (por 
ejempio, FM) para su uso especffico. 



Como se debera evitar que se inunde la Planta de agua o de espuma, ante una falla de 
alimentacion, se utilizaran valvulas FAIL CLOSED. 



Sin embargo, estas valvulas deberan ser conectadas "en paralelo" a fin de garantizar la salida 
del agente de extincion cuando asi lo requiera la SIF correspondiente, energizando las salidas 
apropiadas en el PESO, que debera garantizar la alimentacion de independiente de los 
solenoides de dichas valvulas aun en case de una falta de tension, por medio de la utilizacion de 
alimentacion segura (UPS redundantes). 

Ademas se debera monitorear permanentemente la continuidad de los solenoides de actuacion de 
las valvulas DV y FDV, a fin de prevenir una falla en el memento de su actuacion. 
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La cantidad y tipo de valvulas a utilizar, asi como la arquitectura de votacion a implementar, estara 
relacionada con el Nivel SIL de la "SIF de extincion". 

El siguiente cuadro es indicativo y su utilizacion debera ser verificada en funcion del "range de fallas 
peligrosas" (FRD, Failure Rate Dangerous), determinado por el fabricante de cada valvula. 

Valvula Tipo Votacion SIL 1 Votacion SIL 2 Votacion SIL 3 Funcionamiento modo 

DV, FDV 1oo2 1oo2 6 2oo3 2oo3 FAILSAFE / FAULT 

TOLERANT (*) 

(*) Como se explico mas arriba, las valvulas deben ser FAILSAFE (FAIL CLOSED) y el 
accionamiento, por parte del PESO, FAULT TOLERANT. 

3. Consideraciones finales 
3.1 Diseno Conceptual 

Siguiendo los lineamientos establecidos por las Normas lEC 61508 e lEC 61511 para el Cicio de 
Vida, el Diseno Conceptual del Sistema F&G considerara que: 

• Cuando se trate de un Nivel SILavg = 2 existiran SIF de niveles SIL 1 , SIL 2 y SIL 3 

Estudios recientes demuestran que en Procesos en los cuales se define un SILavg 2, existen 
al menos un 15% de SIF de nivel SIL 3 ("Future Trends in Safety Instrumented Systems", Kirk 
Fontenot, SISIS 2003). 

• El nivel de riesgo de las SIF de Nivel SIL 3 6 SIL 2 / SIL 3 podra ser reducido a SIL 2 utilizando 
capas adicionales de proteccion ("Layers Of Protection Analysis", AlChE-CCPS) y/o deberan 
utilizarse arquitecturas de proteccion SIL 3 para ejecutar dichas SIF. 
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• El NIvel de Proteccion SIL 2 debera ser mantenido a lo largo de todo el Cicio de Vida por 

medio de la prueba periodica, a intervales regulares, del funcionamiento de todas las SIF. 

Durante las tareas de prueba del Sistema F&G deberan relevarse de su funcion los 
elementos bajo prueba (por ejempio, se anularan una por una las DV y FDV para evitar la 
inundacion de la Planta con el agente de extincion durante su ensayo). Durante la ejecucion 
de las pruebas, el Nivel SIL debera ser mantenido. 

• Se debera garantizar la maxima disponibilidad de la Planta, con la minima probabilidad de 
disparos espurios, reduciendo al mmimo las perdidas por lucro cesante. 

• Se adoptara preferentemente un Sistema Triplex de Alta Disponibilidad. 

La provision del PESC incluira el suministro de un terminal grafico color que mostrara todos los 
mensajes de advertencia y alarma relacionados con cada situacion anormal en la cual intervenga 
el Sistema de Seguridad, asf como graficara las zonas de fuego indicando su estado en forma 
permanente. 

Este terminal grafico o Panel de Operador color tendra pantalla "Touch TFT" de 10" (minimo) y podra 
ser del tipo PC o hardware dedicado. En cualquiera de los dos cases, el terminal proveera los 
protocolos de comunicacion apropiados (MODBUS, TCP/IP, etc.) 

Como todo Sistema de Seguridad requiere de una Work Station para poder realizar las 
verificaciones periodicas de correcto funcionamiento del Sistema (mantenimiento anual), asi como 
para poder realizar eventuales modificaciones y/o ampliaciones del mismo, se proveera una PC fija 
(o una "Notebook" portatil), que correra las herramientas de programacion y mantenimiento del 
PESC. 

Inclusive podra proveerse, junto con la PC, un software de visualizacion (HMI/SCADA). 
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De esta forma, la PC podra proveer las funciones propias del Panel de Operador pudiendose, de 
esta forma, utilizar solamente la PC como unico dispositive de Visualizacion, Programacion, 
Configuracion y Mantenimiento del PESC y del Sistema F&G. 

De esta forma, esta PC cumplira la doble funcion de Panel de Operador y Estacion de Trabajo 
(WS) del Sistema F&G (esta ultima funcion con restriccion de acceso protegido por password), 
reduciendo asi los costos del equipamiento y simplificando la operacion del Sistema F&G. 

3.2 Acerca de la instalacion 

Siempre que sea posible, se preferira la conexion directa de los dispositivos de campo hasta el 
gabinete de la CPU del PESC, en lugar de la instalacion de la CPU en Sala de Control y las 
unidades de entrada/salida en Campo (remotas). 

Por tratarse de un Sistema de Alta Integridad, la conexion entre la CPU y los chassis remotos 

debera realizarse por medio de una red de campo de alta integridad o "bus de seguridad", el 

cual debera garantizar el mismo nivel de integridad que el resto del Sistema. 

La implementacion de esta conexion de alta integridad se consigue instalando un "master" de 

comunicaciones en el chassis principal de la CPU, un "slave" de comunicaciones en el 

chassis remoto, y un medio fisico apropiado para interconectarlos (bus de fibra optica). 

Para garantizar el Nivel de Integridad requerido, tanto el scanner, como el adapter como las 

fibras opticas deberan ser duplicados o triplicados (dependiendo del nivel de disponibilidad 

requerido. 

El Sistema F&G podra montarse, entonces segun dos variantes alternativas: 
a) Instalando el gabinete que contiene al PESC en Sala de Control 

En este case, se tenderan hasta Sala de Control todos los cables de los dispositivos de Campo. 
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El Panel de Operador sera ubicado en el mismo armario del PESC o en un pupitre de comando, 
y se conectara directamente, con cable mallado, a uno de los puertos de comunicacion del 
PESC (a menos que una unica PC cumpla las dos funciones, como se vio mas arriba). 
La Estacion de Trabajo (WS) del PESC se conectara tambien directamente, a otro de los puertos 
del PESC. 

b) Instalando el gabinete que contiene el PESC en Campo 

En este case, el terminal grafico y/o la WS, ubicado(s) en la Sala de Control se conectara(n) al 
PESC por medio de un enlace propiado el cual dependera de la distancia a cubrir (enlace de 
fibra optica, cable coaxil, etc., con el protocolo adecuado. 

Esta alternativa requerira, muy probablemente, de la instalacion de un Sistema de Purga y 
Presurizacion en el gabinete del PESC debido a que el area de instalacion en Campo podra ser 
clasificada (Zona 1 6 Zona 2 segun lEC 60079). 



4. Ingeniena del Sistema F&G 

Tal como establece la lEC 61508 para el Cicio de Vida del Sistema de Seguridad, la Ingeniena del 
Sistema en su totalidad, incluyendo las correspondientes a la instalacion de los elementos de 
campo y a la instalacion, programacion y puesta en marcha del PESC, debe ejecutarse de forma 
tal de garantizar el Nivel de Integridad SILavg y el Nivel SIL (SIL 1 , 2 6 3) de cada funcion SIF. 

4.1 Ingeniena de la Instrumentacion 

Tal como establece la lEC 61511, para disenar el Sistema F&G definitivo sera necesario 
ejecutar un estudio cauntitativo (HAZAN, FTA, LOPA, etc.), a fin de verificar el Nivel de 
Integridad SIL 2 (promedio) especificado, asi como para establecer todas las SIF necesarias y 



Funciones Instrumentadas de Seguridad (SIF) para Sistemas F&G 



18 



Ricardo A. Vittoni - FSS 

Napoles 3139 - C1431DEA - Cdad. de Buenos Aires - Cel. (11) 15 4416-8977 - ravittoni@gmail.com 



evaluar su correspondiente Nivel SIL. De esta forma se podran definir las cantidades y tipos 
definitives de los componentes de campo a utilizar. 

Las exigencias actuales de seguridad obligan a un trabajo de Ingenieria de Instrumentacion que 
disene cuidadosamente un eficiente esquema de operatividad y sus automatismos de proteccion de 
acuerdo con las Normas. 

Esta Ingenieria debera ser desarrollada con un alto grade de experiencia y confiabilidad por parte 
del Proveedor, quien suministrara los Servicios de Ingenieria requeridos, incluyendo la provision de 
tipicos de montaje y un listado complete de la instrumentacion necesaria para cumplir con el Nivel 
SIL y con la disponibilidad del Sistema. 

4.2 Ingenieria de Programacion, Commissioning y Puesta en Marcha del PESC 

Por tratarse de un Sistema de Seguridad homologado con las Normas lEC 61508, lEC 6151 1 e ISA 
S84.01, la programacion del PESC debera seguir estrictos criterios de programacion, 
validacion y verificacion de las secuencias y algoritmos logicos correspondientes a cada SIF, 

sobre todo para aquellas de Nivel SIL 2 y SIL 3. 

Para la programacion de SIF de estos Niveles SIL se utilizaran preferentemente Bloques de 
Programacion Certificados, Programacion Estructurada y se proveera un diagrama de flujo 
para cada SIF, indicando claramente las previsiones de seguridad tomadas para cada condicion de 
falla. 

El Sistema debera proveer, ademas, un listado completo de mensajes de advertencia y alarma 

(los cuales seran mostrados en el Panel de Operador y/o en la WS), para cada situacion en la cual 
intervenga el Sistema de Seguridad. El Panel de Operador y/o la WS del Sistema F&G mostrara(n) 
ademas todos los graficos de zonas de fuego del Sistema. 



FUNCIONES INSTRUMENTADAS DE SEGURIDAD (SIF) PARA SiSTEMAS F&G 



19 



Ricardo A. Vittoni - FSS 

Napoles 3139 - C1431DEA - Cdad. de Buenos Aires - Cel. (11) 15 4416-8977 - ravittoni@gmail.com 



La provision del PESC incluira el FAT (Factory Acceptance Test) en sede del fabricante del 
equipamiento y/o del Integrador o Proveedor del Sistema. 

Asimismo deberan ser provistos junto con el Sistema, todos los servicios de Campo necesarios: 
OSAT (On-Site Acceptance Test), Commissioning y Puesta en Marcha. 

Ricardo A. Vittoni - FSS 
Functional Safety Specialist 
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